S
Sendersy
Главная

Политика обработки персональных данных

Обновлено: 2026-05-18

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152») и Регламентом (ЕС) 2016/679 (GDPR) и определяет порядок обработки Исполнителем персональных данных пользователей и иных субъектов, взаимодействующих с сервисом sendersy.com.

1. Реквизиты Исполнителя

  • Наименование: Индивидуальный предприниматель Спиридонов Дмитрий Вадимович
  • ОГРНИП: 324762700012347
  • ИНН: 760806658219
  • Email для вопросов о персональных данных: support@sendersy.com
  • Почтовый адрес: предоставляется по письменному запросу.

Исполнитель является оператором персональных данных (по смыслу ст. 3 Федерального закона № 152-ФЗ «О персональных данных») в отношении Заказчиков (владельцев Аккаунтов) и обработчикомперсональных данных получателей писем, загружаемых Заказчиками через Сервис.

2. Категории субъектов и обрабатываемых данных

2.1 Аккаунт Заказчика

  • Адрес электронной почты, хэш пароля (argon2id, 19 МиБ memory cost), отображаемое имя, предпочитаемый язык;
  • Название Организации и slug, дата создания;
  • API-ключи — только хэши argon2id (оригинал показывается единожды и не сохраняется);
  • Отправляющие домены, DKIM-пары, статусы верификации;
  • Email для биллинга (если отличается), выбранный Тариф.

2.2 Операционные данные и события вовлечённости

  • Логи отправки: from / to, тема, теги, временные метки, статусы доставки, баунсы и жалобы;
  • События открытий и кликов: усечённый IP, user-agent, время;
  • Suppression list: адреса, давшие баунсы или отписавшиеся;
  • Журнал событий безопасности (audit log): входы, создание ключей, изменения настроек, с указанием IP и user-agent.

2.3 Технические данные

  • IP-адрес (усечённый до /24 IPv4 или /48 IPv6 в аналитике; полный — в audit log);
  • Сессионные cookies (HTTPS, HttpOnly, Secure, SameSite=Lax);
  • Строка user-agent браузера.

Исполнитель использует Яндекс.Метрику для агрегированной аналитики посещаемости публичного сайта sendersy.com. Скрипт Метрики загружается только после явного согласия в баннере cookies. Системы поведенческой рекламы и социальные трекеры не используются. Персональные данные не продаются и не передаются рекламодателям.

3. Цели и правовые основания обработки

ЦельОснование (152-ФЗ)Основание (GDPR)
Оказание услуг и исполнение договораСт. 6 ч.1 п.5Art. 6(1)(b)
Защита Сервиса, предотвращение злоупотреблений, audit logСт. 6 ч.1 п.7 — законные интересыArt. 6(1)(f)
Транзакционные письма (verify-email, сброс пароля, биллинг)Ст. 6 ч.1 п.5 — договорArt. 6(1)(b)
Налоговая отчётность и бухучётСт. 6 ч.1 п.2 — обязанности по законуArt. 6(1)(c)
Улучшение продукта (агрегированная аналитика)Ст. 6 ч.1 п.7 — законные интересыArt. 6(1)(f)
Маркетинговые рассылкиСт. 9 — согласие субъектаArt. 6(1)(a)

Согласие на маркетинговые рассылки может быть отозвано в любой момент — ссылкой «отписаться» в письме или письмом на support@sendersy.com.

4. Источники данных

Все персональные данные получены непосредственно от субъекта — при регистрации Заказчика, использовании Сервиса или взаимодействии получателей с письмами. Исполнитель не покупает и не парсит данные.

5. Третьи лица — субпроцессоры

  • Инфраструктура: VPS-провайдеры в Стокгольме (Швеция, ЕС) и Таллине (Эстония, ЕС).
  • SMTP-узел исходящей почты: Self-hosted Postal на нашей инфраструктуре.
  • Входящая почта: Self-hosted Mailcow на нашей инфраструктуре.
  • Платежи: Stripe Payments Europe Ltd. (Ирландия) для зарубежных Заказчиков; ЮKassa / ООО НКО «Яндекс.Деньги» (Россия) для российских Заказчиков. Карточные данные обрабатываются платёжной системой; Исполнитель получает только необратимый платёжный токен.
  • DNS-верификация: через независимые публичные DNS-резолверы (Quad9 9.9.9.9, Google 8.8.8.8) — без Cloudflare; персональные данные не передаются, только проверяемые домены.

6. Трансграничная передача

При размещении данных на инфраструктуре в странах ЕС/ЕЭП передача осуществляется в страны с уровнем защиты, признаваемым адекватным по смыслу Статьи 12 ФЗ-152, либо на основании Стандартных договорных условий (Standard Contractual Clauses) Европейской Комиссии (решение 2021/914) и с согласия субъекта в соответствии с ч. 1 ст. 12 ФЗ-152.

7. Сроки хранения

  • Логи отправки: 30 дней (платные Тарифы) / 7 дней (Free).
  • События вовлечённости: 90 дней, далее агрегируются.
  • Suppression list: бессрочно (до удаления записи) — необходимо для исполнения отписок.
  • Audit log: 12 месяцев.
  • Данные Аккаунта: до удаления Аккаунта Заказчиком, затем уничтожаются в течение 30 дней, кроме случаев, когда хранение требуется налоговым законодательством (финансовые документы — 4 года).
  • Содержимое почтового ящика: в соответствии с квотой ящика и явными действиями пользователя (перемещение в Корзину, удаление).

8. Права субъекта персональных данных

Субъекты на территории РФ, ЕС/ЕЭП и Великобритании вправе реализовать следующие права:

  • Доступ к персональным данным (ст. 14 ФЗ-152, Art. 15 GDPR): экспорт доступен в Dashboard → Settings → Опасная зона → Экспорт или по запросу;
  • Уточнение / исправление (ст. 14 ч. 1 ФЗ-152, Art. 16 GDPR): через Settings;
  • Удаление («право на забвение», ст. 21 ФЗ-152, Art. 17 GDPR): удалить Аккаунт через Dashboard → Settings → Опасная зона или письменно на support@sendersy.com;
  • Ограничение обработки (Art. 18 GDPR);
  • Переносимость (Art. 20 GDPR): экспорт в машиночитаемом формате JSON;
  • Возражение против обработки на основании законных интересов (Art. 21 GDPR);
  • Отзыв согласия в любой момент без ущерба для законности предшествующей обработки (ч. 2 ст. 9 ФЗ-152, Art. 7(3) GDPR);
  • Жалоба в надзорный орган: в России — Роскомнадзор (rkn.gov.ru); в странах ЕС — местный DPA; в Великобритании — ICO.

Запросы рассматриваются в течение 30 дней. Может потребоваться идентификация заявителя.

9. Меры защиты данных

  • Пароли хэшируются argon2id (memory-hard, 19 МиБ, 32-байтный выход);
  • API-ключи хэшируются argon2id; оригинал показывается единожды и не сохраняется;
  • Пароли встроенных почтовых ящиков шифруются AES-256-GCM с ключами, выведенными HKDF из AUTH_SECRET;
  • Транспорт только по TLS 1.2+ с HSTS preload; принудительные заголовки CSP, X-Content-Type-Options, X-Frame-Options, Permissions-Policy;
  • Подпись webhook-уведомлений HMAC-SHA256;
  • Rate-limits, идемпотентность, защита от SSRF, опциональные IP-allowlists;
  • Шифрование резервных копий; доступ к продакшну ограничен SSH-ключами и 2FA;
  • Внутренний audit log по операциям доступа и изменения настроек.

10. Автоматизированное принятие решений

Исполнитель не применяет автоматизированное принятие решений, порождающее юридические последствия или существенно затрагивающее субъекта (Art. 22 GDPR, ст. 16 ФЗ-152). Эвристики антифрод-системы носят статистический характер; решения о приостановке Аккаунта принимаются с участием человека.

11. Дети

Сервис не предназначен для лиц моложе 16 лет (ЕС/ЕЭП) или 14 лет (РФ). Исполнитель не собирает данные несовершеннолетних осознанно. При обнаружении таких данных просьба сообщить на support@sendersy.com — данные будут удалены.

12. Регистрация в Роскомнадзоре

Исполнитель уведомил Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке персональных данных в порядке ст. 22 ФЗ-152.

13. Изменения Политики

О существенных изменениях Исполнитель уведомляет по email не менее чем за 14 дней. Действующая редакция всегда опубликована на sendersy.com/legal/privacy с указанием даты вступления в силу.

14. Контакты

По вопросам персональных данных, конфиденциальности и жалобам на злоупотребления: support@sendersy.com

Действует с 2026-05-18.